---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Module 2: Implementing Advanced File Services ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Almacenamiento iSCSI: iSCSI es un protocolo para poder acceder a dispositivos de almacenamiento SCSI usando una red estandar TCP/IP. No requiere uso de conectores, cables ni swiches especificos, usamos los dispositivos de red habituales. Es una forma asequible de acceder a dispositivos de almacenamiento redundantes y con alta disponibilidad y velocidad. El unico requisito es que los enlaces sean, como minimo, Gigabit Ethernet. Componentes iSCSI:

- Espacio de almacenamiento. Se suele usar una cabina de discos con redundancia integrada. - iSCSI Target Server: para que los discos del espacio de almacenamiento sean accesibles a traves de la red,

necesitamos un servidor que los presente. iSCSI Target Server es el servicio que permite el acceso a traves de la red a esos discos. iSCSI Target Server proporciona seguridad (autenticacion CHAP, IPSec, …) y redundancia en los accesos (varios camino para llegar hasta los discos, estableciendo multiples sesiones en failover)

- iSCSI initiator: Es la parte del cliente. Ejecuta el protocolo iSCSI en el cliente para conectarse al iSCSI Target Server.

- IQN (iSCSI Qualified Name): Es el indentificador de un target en la red. Es un punto de acceso a uno o varios volumenes a traves de la red.

El tipo de almacenamiento que usamos en iSCSI es SAN, no NAS. En una SAN el acceso es a nivel de bloques. Un ejemplo de uso de SAN son los servidores Diskless Servers. iSCSI Target Server en Windows Server 2012 R2 ha mejorado la gestionabilidad (manageability) incluyendo soporte para SMI-S (Storage Management Initiative Specificacion), que es un estandar de gestion de almacenamiento Redundancia en el acceso a iSCSI:

- MCS: Multiple comnected sessions. Multiples sesiones de comandos y cuando falla, los comandos se ejecutan en otra.

- MPIO: Multipath I/O. Multiples caminos fisicos. Es la opcion recomendada, pero requiere mas hardware.

Cuando estamos creando un target iSCSI no se pueden utilizar espacios Rol para iSCSI

Opciones para identificar al initiator en el asistente de creacion de iSCSI

Opciones de autenticacion

Ahora en el servidor que va a mostrar los discos en la red

Y ya nos aparecen los 2 discos

BranchCache: Normalmente, la conexión entre la central y las suscursales es mediante enlaces WAN de bajo ancho de banda y elevada latencia. SI queremos acceder a carpetas compartidas, archivos en servidores web o transfererir archivos mediante BITS usando estos enelaces, empeoramos la situacion. Cuando multiples usuarios de una sucursal necesitan acceder a un mismo archivos de la central, seria una mejora de rendimiento guardar ese archivo en cache la primera vez que es accedido por uno de los usuarios. Cuando necesitan acceder el resto de usuarios de la sucursal, usan la copia en cache en lugar de usar el enlace WAN. BranchCache esta diseñado para optimizar el uso de enlaces WAN para la transferencia de:

- Archivos en servidores Web - Archivos en carpetas compartidas - Tranferencia de BITS. Protocolo que transfiere archivos solo cuando el enlace esta caido

En diferentes sucursales podemos tenemos diferentes modos pero en la misma no podemos tener varios modos Hosted: necesita un servidor Distribuida: se guarda en la cache de los clientes Funcionamiento de BrachCache:

1. Un usuario necesita acceder a un archivo que esta en la central 2. Se conecta a la carpeta compartida, se le autentica y autoriza y descarga el archivo. La descarga se completa

por enlace WAN. 3. El archivo se almacena en la cache (de la maquina del cliente del usuario si es modo distribuido, o del

servidor BranchCache si es modo hosted) 4. Si otro usuario de la misma suscirsal tiene que acceder al mismo archivo, se conecta a la central para

descargar el hash del archivo. Comprueba este hash con el del archivo que esta en cache. Des esta forma sabe si el archivo a sido modificado.

5. Si los hashes son iguales, el archivo no ha sido modificado y lo descarga desde la cache. Si son diferentes, se lo descarga de la central y se actualiza la cache.

Si el modo es hosted, todos los usuarios de la sucursal saben cual es el servidore de Branchcache y le preguntan directamente por el hash. Si es distributed, la cunsulta se hace en modo multicast (WS-Discovery). Al ser en multicast, el modulo distributed solo puede usarse en una subred

IMPORTANTE LA VERSIONES DE CONTENIDO LON-DC1: Carpeta compartida en la central. Es el Content Server. Aquí tenemos que instalar BranchCache for Network Files.

LON-SRV1: si lo vamos a usar como servidor en modo hosted en la sucursal, tendriamos que instalar BranchCache

Versiones de contenido en BranchCache:

- V1: Windows Server 2008 y Windows 7 - V2: Windows Server 2012 y Windows 8.1

Sistemas operativos soportados:

- Windows Server 2008 R2 o superior - Windows 7 Enterprise o superior - Windwos Vista Ultimate

Hay 2 excepciones:

- Windows Server 2008 R2 Enterprise core con Hyper-V - Windows Server 2012 R2 Datacenter con Hyper-V

Politicas de GPO para clientes BranchCache

SCP Service connection Point = branchcache server Servicio que se integra en el directorio activo para indentificar a los servidores de branchcahe

Configuracion de Servidor de contenido BranchCache DC1 es nuestro servidor de contenido Primero creamos una carpeta compartida en DC1 con un archivo de 10mb dentro

Instalamos el rol

Vamos a crear la GPO para configurar los clientes para que usen Branchcache

Configuramos estas 2 politicas

Ahora tenemos que configurar en la misma GPO las reglas para el firewall

Reglas predefinidas para el firewall

Nosotros activamos las 3 por que las vamos a necesitar despues, ahora solo hace falta la 3

Ahora faltaria habilitar la creacion de Hashes Desde powershell Publish-BCFileContent –path Carpta o desde GPO

Ya estaria la GPO Ahora hay que activar el branchCache en la carpeta compartida

Ya estaria configurado todo ahora un gpupdate /force para aplicar las politicas

Con Get-BCStatus vemos la configuracion y estado del BranchCache Tienes que tener la caracteristica Branchcahe instalada

Ahora nos vamos a configurar el host BanchCache Instalamos la caracteristica LON-SRV1 sera nuestra host BanchCache

Tenemos que registrar el sevidor como servidor SCP para si alguien pregunta el DA lo tenga registrado

Y ya estaria solo tendriamos que comprobar que en los clientes se aplica la GPO Vamos a simular que tenemos un enlace lento entre las maquinas lon-dc1 que es donde estan los archivos de red y lon-rtr que hace de cliente Vamos a usar Network emulator for windows toolkit para simular el enlace lento Simulamos un adsl 128/512 con 100ms de latencia en subida y 100ms de latencia en bajada Primero descargamos el archivo en el srv1 y vemos que tarda muchisimo Y al intentar desde el rtr lo descarga desde el srv1 directamente

FSRM (File Service Resource Manager): FSRM es un rol que incluye herramientas de optimizacion de servidores de archivos:

- Gestion de Cuotas: a nivel de carpetas, a diferencia de las cuotas NTFS que se aplican a nivel de volumen. - File Screening: Nos permite monitorizar y evitar que determinados tipos de archivos se guarden en una

carpeta. - Generacion de informes: Obtener informes detallados sobre el uso del sistema de archivos, cuotas,

auditorias sobre file screening… - Clasificacion de archivos: podemos crear propiedades personalizadas para archivos y carpetas. Esas

propiedades pueden aplicarse de forma manual o automatizada o mediante reglas de clasificacion. - Tareas de gestion de archivos: Podemos ejecutar de forma periodica tareas sobre archivos en base a su

clasificacion, por ejemplo, mover todos los archivos clasificados como confidenciales a otra carpeta. La clasificacion de archivos puede utilizarse para añadir una capa adicional de seguridad en el sistema de archivos mediante DAC (Dynamic Access Control). Instalacion del rol

Recordatorio clasificacion con FSRM Creamos una carpeta y la compartimos dentro creamos 2 archivos cada uno con un texto

Vamos a crear la propiedad (esta propiedad es local)

Aquí indicamos las opciones disponibles para la propiedad

Con esto ya se puede aplicar a mano la clasificacion en las propiedades del archivo/carpeta Ahora vamos a crear la regla de clasificacion

Hay que crear una por cada opcion que tengamos en la propiedad

Elegimos donde se va a aplicar

Ahora elegimos la clasificacion

Aquí le estamos diciendo que si encuentra la palabra sistemas dentro del archivo le aplique la regla

Y en la ultima pestaña indicamos el modo de aplicar la regla

Ahora creamos la otra para el otro departamento.

Pordemos ejecutarlas a mano

Y nos da el reporte de los cambios

Ya sabemos asignar propiedades personalizadas a los archivos, ¿Podemos controlar el acceso a esos archivos por parte de los usuarios en base a esas propiedades? Por ejemplo, ¿Podemos hacer que un archivo que tenga la propiedad departamento-sistemas sea inaccesible para un usuario de logistica? Se podria mover los archivos con tareas a carpetas donde solo tubieran acceso los usuarios de su departamento ¿Podemos hacer que a un archivo que tenga la propiedad departamento-Sistemas solo puedan acceder usuarios del departamento de sistemas y solo cuando estan en un equipo que se encuentra en madrid? Para la gestion de acceso en base a otras propiedades, condiciones y cambios en el contenido de un archivos, tenemos que usar DAC La clasificacion de archivos que aplicamos con FSRM puede verse afectada cuando movemos los archivos, sabemos asignar valores a propiedades personalizadas en archivos. Estas propiedades y valores se mantienene cuando copiamos o movemos los archivos entre las particiones NTFS. Por ejemplo, ReFS no soporta propiedades de clasificacion.

No se pueden aplicar reglas de clasificacion a archivos como zip, vhd, vhdx, … NFS (Network File System) es un sistema de archivos nativo de Unix para compartir archivos a traves de la red. Windows Server 2012 tiene soporte NFS en caso de que necesitemos compartir archivos con maquinas no Windows

Con esta opcion eliminamos archivos iguales a nivel de hash

Solo se puede habilitar a nivel de volumen. Aquí se activa